Компьютер с защитой от несанкционированного доступа

Авторы патента:

G06F12 - Выборка, адресация или распределение данных в системах или архитектурах памяти (хранение информации как таковое G11)

Компьютер с защитой от несанкционированного доступа содержит системную шину, модуль памяти, содержащий UEFI, при этом модуль памяти содержит раздел для хранения данных модуля безопасности. UEFI настроен так, что сразу после выполнения перехода в окружение исполнения драйверов он осуществляет запуск модуля безопасности, который позволяет запускать: по меньшей мере, один внешний модуль безопасности, подключаемый к системной шине компьютера и/или, либо средство аутентификации пользователя с помощью идентифицирующего устройства, подключаемого к системной шине компьютера и/или, либо средство для передачи управления UEFI для дальнейшей загрузки компьютера. Технический результат предлагаемого технического решения - повышение безопасности компьютера. 3 з.п. ф-лы, 1 ил.

Предлагаемая полезная модель относится к компьютеру, защищаемому от вредоносных программ и несанкционированного доступа к нему посторонних лиц на ранней стадии загрузки.

В настоящее время для современных компьютеров, а точнее их материнских плат разрабатывается интерфейс Unified Extensible Firmware (UEFI). Данный интерфейс предназначен для замены BIOS компьютера и предназначен корректно инициализировать оборудование при включении системы и передать управление загрузчику операционной системы. UEFI имеет две фазы: предварительную EFI фазу, на которой происходит инициализация элементов компьютера и фазу загрузки драйверов Driver Execution Environment (DXE), после чего уже загружается операционная система компьютера, см., например, US 2009319763 A1 от 24.12.2009. Благодаря применению UEFI ускоряется загрузка операционной системы компьютера.

Наиболее близким техническим решением является RU 119910 U1, от 27.08.2012, в котором описан компьютер с защитой от несанкционированного доступа в BIOS. Данное устройство содержит системную шину, базовую систему ввода/вывода (BIOS) и встраиваемый модуль безопасности, подключенный к BIOS. Причем BIOS настроен так, что сразу после выполнения прохождения процедуры Power On Self-Test (POST) он осуществляет запуск встраиваемого модуля безопасности. При этом модуль безопасности содержит средство для блокировки доступа к настройкам BIOS всем, кроме авторизированных администраторов модуля безопасности, средство для аутентификации пользователя/администратора модуля безопасности, причем аутентификация пользователя/администратора производится с помощью идентифицирующего устройства (ИУ), подключаемого к системной шине ПЭВМ, средство для передачи управления BIOS для дальнейшей загрузки компьютера после аутентификации пользователя/администратора.. Однако данные средства защиты не достаточно эффективно защищают компьютер от вредоносных программ.

Предлагаемое техническое решение направлено на создание компьютера, защищаемого в UEFI на ранней стадии загрузки компьютера.

Задачи, которые позволяет решить предлагаемая полезная модель:

1) Возможность гарантированно запускать внешние модули (приложения - антивирусы, авторизация, защита, или иные программные средства, направленные на защиту от несанкционированного доступа) до запуска основной операционной системы (ОС) в безопасной среде, не подверженной изменениям и влиянию со стороны любых иных программ.

2) Нет необходимости менять UEFI при добавлении, обновлении, удалении и конфигурировании внешних модулей.

3) Модули для данной оболочки могут разрабатываться сторонними производителями (например, различными изготовителями антивирусов) в едином унифицированном стиле и интерфейсе для потребителя - т.е. возможность использовать комплекс как некий «конструктор» различных вариантов процесса безопасной загрузки компьютера (ЭВМ).

Технический результат предлагаемого технического решения - повышение безопасности компьютера, путем проведения авторизации и защиты до момента запуска на устройстве программных сред, потенциально способных осуществить вредоносные действия и повлиять на процесс работы компьютера.

Технический результат достигается тем, что компьютер с защитой от несанкционированного доступа в UEFI, содержит системную шину, модуль памяти, содержащий UEFI, при этом модуль памяти содержит раздел для хранения данных модуля безопасности. UEFI настроен так, что сразу после выполнения перехода в окружение исполнения драйверов он осуществляет запуск модуля безопасности, который позволяет запускать:

- по меньшей мере один, внешний модуль безопасности до запуска основной ОС в безопасной среде, не подверженной изменениям со стороны любых иных программ и/или,

- либо средство аутентификации пользователя с помощью идентифицирующего устройства, подключаемого к системной шине ПЭВМ и/или,

- либо средство для передачи управления UEFI для дальнейшей загрузки компьютера после аутентификации.

Предпочтительно, чтобы модуль безопасности представлял собой автоматически запускающуюся, по меньшей мере одну программу: антивируса, "антишпиона", авторизации, или иную программу, осуществляющую защиту компьютера.

Кроме того, по меньшей мере, один внешний модуль безопасности может представлять собой обновляемую программу: антивируса, антишпиона, авторизации, или иную программу, осуществляющую защиту компьютера.

Идентифицирующее устройство может представлять собой внешний физический носитель, в виде пластиковой карты со встроенной микросхемой - SmartCard или USB Token.

На фиг.1 показана схема защиты компьютера с защитой от несанкционированного доступа.

Рассмотрим работу предлагаемого устройства компьютера с защитой от несанкционированного доступа. Для работы предлагаемого компьютера используется материнская плата компьютера, у которого имеется модуль памяти в виде микросхемы FLASH, где вместо БИОС (BIOS) записана UEFI. Кроме того в микросхеме FLASH содержится раздел для хранения данных модуля безопасности. Остальные элементы компьютера представляют стандартные элементы компьютера: процессор с системой охлаждения, оперативная память, видеокарта, жесткие диски (SSD или HDD), монитор, корпус с блоком питания, клавиатура и мышь. Кроме того в материнской плате компьютера могут быть предусмотрены интерфейсы (разъемы) для подключения к ее системной шине, по меньшей мере одного, внешнего физического модуля SmartCard и/или USB Token.

Работа предлагаемого устройства компьютера с защитой от несанкционированного доступа осуществляется следующим образом. Пользователь включает компьютер, после чего начинается загрузка UEFI, при этом на мониторе может формироваться различное графическое или текстовое оформление загрузки UEFI. После выполнения UEFI перехода в окружение исполнения драйверов - DXE, запускается модуль безопасности. Модуль безопасности представляет собой последовательно автоматически запускающуюся, по меньшей мере, одну программу, желательно авторизации (могут запускаться программы авторизации и антивируса и др. программы). Последовательность программ может быть иная, и программы могут варьироваться, т.е. могут предварительно в раздел для хранения данных микросхемы FLASH сохраняться любые программы, осуществляющую защиту компьютера от несанкционированного доступа. При этом ход выполнения, по меньшей мере, одной программы на экране монитора сопровождается различным графическим и/или текстовым оформлением.

Кроме того, после выполнения программы авторизации на экран монитора выводится список, позволяющий пользователю:

- дополнительно запустить программу из, по меньшей мере, одного внешнего модуля безопасности, подключаемого к системной шине компьютера до запуска основной ОС в безопасной среде, не подверженной изменениям со стороны любых иных программ, например, можно запустить с внешнего USB носителя, дополнительный антивирус, либо запустить средство аутентификации пользователя с помощью идентифицирующего устройства, подключаемого к системной шине ПЭВМ, т.е. пользователю предлагается подключить к компьютеру внешний физический модуль, предпочтительно SmartCard или USB Token идентифицирующий его на данном компьютере, либо продолжить загрузку ОС компьютера, т.е. запустить средство для передачи управления UEFI для дальнейшей загрузки компьютера.

По существу модуль безопасности представляет собой программную оболочку.

Процедура работы оболочки модуля безопасности:

- запуск самой оболочки,

- загрузка конфигурационных файлов настроек оболочки,

- проверку контрольных сумм модулей безопасности и дополнительных драйверов.

- последовательная загрузка и исполнение, по меньшей мере, одного модуля безопасности, например, идентификации пользователя введением пароля,

- загрузка основного интерфейса оболочки,

- формирование интерфейса в виде списка из 2-х пунктов: 1 - строки запуска программы, например антивируса, с внешнего носителя, подключаемого к системной шине компьютера, либо 2 - строки запуска средства аутентификации пользователя с помощью идентифицирующего устройства, подключаемого к системной шине компьютера и либо 2 - строки подразумевающей дальнейшую загрузку ОС, т.е. передающую управление UEFI для дальнейшей загрузки компьютером ОС.

В случае запуска строки 1, пользователю предлагается подключить внешний носитель, например содержащий антивирус иного производителя. После чего компьютер выполняет данную программу антивируса иного производителя. После завершения работы антивируса иного производителя пользователь сразу перенаправляется к действию указанному в строке 2.

В случае запуска строки 2 средства аутентификации пользователя с помощью идентифицирующего устройства, пользователю предлагается подключение внешнего физического модуля к соответствующему интерфейсу материнской платы. После чего компьютер выполняет программу авторизации, осуществляющую сравнение сохраненной в UEFI информации о пользователе (данная информация предварительно записывается в UEFI материнской платы) с информацией, сохраненной на внешнем физическом модуле, например, USB Token, при положительном результате сравнения (информация в USB Token присутствует в UEFI) осуществляется загрузка операционной системы компьютера, при отрицательном результате сравнения (информация в USB Token отсутствует в UEFI) осуществляется вывод информационного сообщения, например, «доступ запрещен», и затем отключение питания компьютера, в случае, когда пользователем в длительный промежуток времени (например, более 30 сек.) не осуществляется подключение внешнего физического модуля, осуществляется отключение питания компьютера,

После завершения сравнение сохраненной в UEFI информации о пользователе с информацией сохраненной на внешним физическом модуле устанавливается региональная (раздела(ов) UEFI, где хранится информации о пользователе и программа авторизации) защита микросхемы FLASH от чтения и записи с целью невозможности изменения информации о пользователе или блокирования программы авторизации.

При этом информация, идентифицирующая пользователя, может записываться в физический модуль, предпочтительно SmartCard или USB Token и в UEFI, при изготовлении материнской платы, т.е. в комплекте с материнской платой находится комплект физических модулей, осуществляющих идентификацию пользователей.

Выше был раскрыт конкретный вариант осуществления предлагаемого технического решения, но любому специалисту в данной области техники, очевидно, что на основе раскрытых данных можно создать вариации защиты компьютера при аутентификации пользователей в UEFI, например, применяя отличные, от раскрытых выше, комбинаций защиты. Таким образом, объем полезной модели не должен быть ограничен конкретным вариантом его осуществления, раскрытым в предлагаемой формуле полезной модели.

1. Компьютер с защитой от несанкционированного доступа, содержащий системную шину, модуль памяти, содержащий UEFI, при этом модуль памяти содержит раздел для хранения данных модуля безопасности, a UEFI настроен так, что сразу после выполнения перехода в окружение исполнения драйверов он осуществляет запуск модуля безопасности, который позволяет запускать:

по меньшей мере один внешний модуль безопасности, подключаемый к системной шине компьютера и/или,

либо средство аутентификации пользователя с помощью идентифицирующего устройства, подключаемого к системной шине компьютера и/или,

либо средство для передачи управления UEFI для дальнейшей загрузки компьютера.

2. Компьютер с защитой от несанкционированного доступа в UEFI по п.1, отличающийся тем, что модуль безопасности представляет собой автоматически запускающуюся по меньшей мере одну программу: антивируса, авторизации, или иную программу, осуществляющую защиту компьютера от несанкционированного доступа.

3. Компьютер с защитой от несанкционированного доступа в UEFI по п.1, отличающийся тем, что по меньшей мере один, внешний модуль безопасности представляет собой обновляемую программу: антивируса, антишпиона, авторизации, или иную программу, осуществляющую защиту компьютера от несанкционированного доступа.

4. Компьютер с защитой от несанкционированного доступа в UEFI по п.1, отличающийся тем, что идентифицирующее устройство представляет собой внешний физический носитель в виде пластиковой карты со встроенной микросхемой - SmartCard или USB Token.